你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Crowdstrike Falcon Data Replicator V2(使用 Azure Functions)连接器

Crowdstrike Falcon Data Replicator 连接器提供将 Falcon 平台事件中的原始事件数据引入 Microsoft Sentinel 的功能。 该连接器提供从 Falcon 代理获取事件的功能,这有助于检查潜在的安全风险、分析团队协作情况、诊断配置问题等。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Azure 函数应用代码 https://aka.ms/sentinel-CrowdstrikeReplicatorV2-functionapp
Kusto 函数别名 CrowdstrikeReplicator
Kusto 函数 URL https://aka.ms/sentinel-crowdstrikereplicator-parser
Log Analytics 表 CrowdStrike_Additional_Events_CL
ASimNetworkSessionLogs
ASimDnsActivityLogs
ASimAuditEventLogs
ASimFileEventLogs
ASimAuthenticationEventLogs
ASimProcessEventLogs
ASimRegistryEventLogs
ASimUserManagementActivityLogs
CrowdStrike_Secondary_Data_CL
数据收集规则支持 目前不支持
支持的服务 Microsoft Corporation

查询示例

Data Replicator - 所有活动

CrowdStrikeReplicatorV2 

| sort by TimeGenerated desc

先决条件

要与 Crowdstrike Falcon Data Replicator V2(使用 Azure Functions)集成,请确保具有:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • SQS 和 AWS S3 帐户凭据/权限:需要 AWS_SECRET、AWS_REGION_NAME、AWS_KEY、QUEUE_URL。 参阅文档以详细了解数据拉取。 若要开始,请联系 CrowdStrike 支持人员。 他们将按照你的请求创建一个 CrowdStrike 托管的 Amazon Web Services (AWS) S3 存储桶用于短期存储目的,并创建一个 SQS(简单队列服务)帐户用于监视对 S3 存储桶的更改。

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 AWS SQS/S3,以将日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

先决条件

  1. 在 CrowdStrike 中配置 FDR - 必须联系 CrowdStrike 支持团队以启用 CrowdStrike FDR。
    • 启用 CrowdStrike FDR 后,从 CrowdStrike 控制台导航到支持 -> API 客户端和密钥。
    • 需要创建新的凭据以复制 AWS 访问密钥 ID、AWS 机密访问密钥、SQS 队列 URL 和 AWS 区域。
  2. 注册 AAD 应用程序 - 要使 DCR 能够进行身份验证以将数据引入日志分析,必须使用 AAD 应用程序。
    • 按照此处的说明(步骤 1-5)获取 AAD 租户 ID、AAD 客户端 ID 和 AAD 客户端密码。
    • 对于 此应用程序的 AAD 主体 ID,请通过 AAD 门户访问 AAD 应用,并从应用程序概述页获取对象 ID。

部署选项

从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法通过 ARM 模板自动部署 Crowdstrike Falcon Data Replicator 连接器 V2。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure 部署到 Azure Gov

  2. 提供所需的详细信息,例如 Microsoft Sentinel 工作区、CrowdStrike AWS 凭据、Azure AD 应用程序详细信息和引入配置。注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 建议创建用于部署函数应用和相关资源的新资源组。

  3. 选中“我同意上述条款和条件”复选框。

  4. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

按照以下分步说明,使用 Azure Functions 手动部署 Crowdstrike Falcon Data Replicator 连接器(通过 Visual Studio Code 进行部署)。

1.为数据引入部署 DCE、DCR 和自定义表

  1. 使用数据收集资源 ARM 模板部署所需的 DCE、DCR 和自定义表
  2. 成功部署 DCE 和 DCR 后,获取以下信息并使其保持随时可用(Azure Functions 应用部署期间需要)。

2.部署函数应用

  1. 下载 Azure 函数应用文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署指南,使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤进行配置。

3. 配置函数应用

  1. 转到 Azure 门户,获取函数应用配置。

  2. 在函数应用中选择“函数应用名称”,然后选择“配置”。

  3. 在“应用程序设置”选项卡中,选择“新建应用程序设置”。

  4. 分别添加以下每个应用程序设置及其各自的字符串值(区分大小写):

    • AWS_KEY
    • AWS_SECRET
    • AWS_REGION_NAME
    • QUEUE_URL
    • USER_SELECTION_REQUIRE_RAW //True(如果需要原始数据)
    • USER_SELECTION_REQUIRE_SECONDARY //True(如果需要辅助数据)
    • MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100(消耗)或 150(高级)
    • MAX_SCRIPT_EXEC_TIME_MINUTES // 在此处添加值 10
    • AZURE_TENANT_ID
    • AZURE_CLIENT_ID
    • AZURE_CLIENT_SECRET
    • DCE_INGESTION_ENDPOINT
    • NORMALIZED_DCR_ID
    • RAW_DATA_DCR_ID
    • EVENT_TO_TABLE_MAPPING_LINK // 文件存在于 Github。 如果可以使用 Internet 访问文件,请添加
    • REQUIRED_FIELDS_SCHEMA_LINK //文件存在于 Github。 如果可以使用 Internet 访问文件,请添加
    • Schedule //添加值为“0 */1 * * * *”,以确保函数每分钟运行一次。
  5. 输入所有应用程序设置后,单击“保存”。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案